« CockroachDB 集成 Containerd 集成 »
Elastic 文档 Elastic 集成

通用事件格式 (CEF) 集成

编辑

通用事件格式 (CEF) 集成

编辑

版本

2.17.4 (查看全部)

兼容的 Kibana 版本

8.6.1 或更高版本

支持的无服务器项目类型
这是什么?

安全
可观测性

订阅级别
这是什么?

基本

支持级别
这是什么?

Elastic

这是一个用于解析通用事件格式 (CEF) 数据的集成。它可以接受来自 syslog 的数据或从文件中读取数据。

CEF 数据是一种类似如下的格式

CEF:0|Elastic|Vaporware|1.0.0-alpha|18|Web request|low|eventId=3457 msg=hello

当 syslog 用作传输时,CEF 数据将成为 syslog 包络中包含的消息。如果存在 syslog 时间戳,则此集成将解析该时间戳。根据所使用的 syslog RFC,消息将具有如下格式之一

<189> Jun 18 10:55:50 host CEF:0|Elastic|Vaporware|1.0.0-alpha|18|Web request|low|eventId=3457 msg=hello

<189>1 2021-06-18T10:55:50.000003Z host app - - - CEF:0|Elastic|Vaporware|1.0.0-alpha|18|Web request|low|eventId=3457 msg=hello

在这两种情况下,集成都将使用 syslog 时间戳作为 @timestamp,除非 CEF 数据包含设备接收时间戳。

Elastic Agent 的 decode_cef 处理器用于解析 CEF 编码的数据。解码后的数据写入 cef 对象字段。最后,任何可以使用 CEF 数据填充的 Elastic Common Schema (ECS) 字段都会被填充。

兼容性

编辑

Forcepoint NGFW 安全管理中心

编辑

此模块将处理来自 Forcepoint NGFW 安全管理中心 (SMC) 的 CEF 数据。在 SMC 中,将日志配置为以 CEF 格式并通过 UDP 服务转发到 var.syslog_host 中设置的地址的 var.syslog_port。有关配置 SMC 的说明,请参见 KB 15002

测试使用了来自 SMC 6.6.1 版本的 CEF 日志,并且自定义字符串映射取自 2011 年 12 月 5 日的CEF 连接器配置指南

Check Point 设备

编辑

此模块将按照 日志导出器 CEF 字段映射 中的文档解析来自 Check Point 设备的 CEF 数据。

Check Point CEF 扩展映射如下

CEF 扩展 CEF 标签值 ECS 字段 非 ECS 字段

cp_app_risk

-

event.risk_score

checkpoint.app_risk

cp_severity

-

event.severity

checkpoint.severity

baseEventCount

-

-

checkpoint.event_count

deviceExternalId

-

observer.type

-

deviceFacility

-

observer.type

-

deviceInboundInterface

-

observer.ingress.interface.name

-

deviceOutboundInterface

-

observer.egress.interface.name

-

externalId

-

-

checkpoint.uuid

fileHash

-

file.hash.{md5,sha1}

-

reason

-

-

checkpoint.termination_reason

requestCookies

-

-

checkpoint.cookie

sourceNtDomain

-

dns.question.name

-

Signature

-

vulnerability.id

-

Recipient

-

email.to.address

-

Sender

-

email.from.address

-

deviceCustomFloatingPoint1

更新版本

observer.version

-

deviceCustomIPv6Address2

源 IPv6 地址

source.ip

-

deviceCustomIPv6Address3

目标 IPv6 地址

destination.ip

-

deviceCustomNumber1

以秒为单位的经过时间

event.duration

-

deviceCustomNumber1

电子邮件收件人数量

-

checkpoint.email_recipients_num

deviceCustomNumber1

payload

network.bytes

-

deviceCustomNumber2

icmp 类型

-

checkpoint.icmp_type

deviceCustomNumber2

以秒为单位的持续时间

event.duration

-

deviceCustomNumber3

icmp 代码

-

checkpoint.icmp_code

deviceCustomString1

连接状态

-

checkpoint.connectivity_state

deviceCustomString1

应用程序规则名称

rule.name

-

deviceCustomString1

威胁防护规则名称

rule.name

-

deviceCustomString1

voip 日志类型

-

checkpoint.voip_log_type

deviceCustomString1

dlp 规则名称

rule.name

-

deviceCustomString1

电子邮件 ID

-

checkpoint.email_id

deviceCustomString2

类别

-

checkpoint.category

deviceCustomString2

电子邮件主题

email.subject

checkpoint.email_subject

deviceCustomString2

传感器模式

-

checkpoint.sensor_mode

deviceCustomString2

保护 ID

-

checkpoint.protection_id

deviceCustomString2

扫描调用类型

-

checkpoint.integrity_av_invoke_type

deviceCustomString2

更新状态

-

checkpoint.update_status

deviceCustomString2

对等网关

-

checkpoint.peer_gateway

deviceCustomString2

类别

rule.category

-

deviceCustomString6

应用程序名称

network.application

-

deviceCustomString6

病毒名称

-

checkpoint.virus_name

deviceCustomString6

恶意软件名称

-

checkpoint.spyware_name

deviceCustomString6

恶意软件系列

-

checkpoint.malware_family

deviceCustomString3

用户组

group.name

-

deviceCustomString3

事件扩展

-

checkpoint.incident_extension

deviceCustomString3

保护类型

-

checkpoint.protection_type

deviceCustomString3

电子邮件假脱机 ID

-

checkpoint.email_spool_id

deviceCustomString3

身份类型

-

checkpoint.identity_type

deviceCustomString4

恶意软件状态

-

checkpoint.spyware_status

deviceCustomString4

威胁防护规则 ID

rule.id

-

deviceCustomString4

扫描结果

-

checkpoint.scan_result

deviceCustomString4

tcp 标志

-

checkpoint.tcp_flags

deviceCustomString4

目标操作系统

os.name

-

deviceCustomString4

保护名称

-

checkpoint.protection_name

deviceCustomString4

电子邮件控制

-

checkpoint.email_control

deviceCustomString4

频率

-

checkpoint.frequency

deviceCustomString4

用户响应

-

checkpoint.user_status

deviceCustomString5

匹配的类别

rule.category

-

deviceCustomString5

vlan id

network.vlan.id

-

deviceCustomString5

身份验证方法

-

checkpoint.auth_method

deviceCustomString5

电子邮件会话 ID

email.message_id

checkpoint.email_session_id

deviceCustomDate2

订阅过期

-

checkpoint.subs_exp

deviceFlexNumber1

置信度

-

checkpoint.confidence_level

deviceFlexNumber2

性能影响

-

checkpoint.performance_impact

deviceFlexNumber2

目标电话号码

-

checkpoint.dst_phone_number

flexString1

应用程序签名 ID

-

checkpoint.app_sig_id

flexString2

恶意软件操作

rule.description

-

flexString2

攻击信息

event.action

-

rule_uid

-

rule.uuid

-

ifname

-

observer.ingress.interface.name

-

inzone

-

observer.ingress.zone

-

outzone

-

observer.egress.zone

-

product

-

observer.product

-

日志

编辑

CEF 日志

编辑

这是 CEF log 数据集。

示例

log 的示例事件如下所示

{
    "@timestamp": "2023-04-19T09:52:39.939Z",
    "agent": {
        "ephemeral_id": "1e43410c-3849-4180-9c14-e3264e4a47e6",
        "id": "f1ee4a83-b99b-4611-925d-b83b001f8b86",
        "name": "docker-fleet-agent",
        "type": "filebeat",
        "version": "8.6.2"
    },
    "cef": {
        "device": {
            "event_class_id": "18",
            "product": "Vaporware",
            "vendor": "Elastic",
            "version": "1.0.0-alpha"
        },
        "extensions": {
            "destinationAddress": "192.168.10.1",
            "destinationPort": 443,
            "eventId": 3457,
            "requestContext": "https://www.google.com",
            "requestMethod": "POST",
            "requestUrl": "https://www.example.com/cart",
            "sourceAddress": "89.160.20.156",
            "sourceGeoLatitude": 38.915,
            "sourceGeoLongitude": -77.511,
            "sourcePort": 33876,
            "sourceServiceName": "httpd",
            "transportProtocol": "TCP"
        },
        "name": "Web request",
        "severity": "low",
        "version": "0"
    },
    "data_stream": {
        "dataset": "cef.log",
        "namespace": "ep",
        "type": "logs"
    },
    "destination": {
        "ip": "192.168.10.1",
        "port": 443
    },
    "ecs": {
        "version": "8.11.0"
    },
    "elastic_agent": {
        "id": "f1ee4a83-b99b-4611-925d-b83b001f8b86",
        "snapshot": false,
        "version": "8.6.2"
    },
    "event": {
        "agent_id_status": "verified",
        "code": "18",
        "dataset": "cef.log",
        "id": "3457",
        "ingested": "2023-04-19T09:52:40Z",
        "severity": 0
    },
    "http": {
        "request": {
            "method": "POST",
            "referrer": "https://www.google.com"
        }
    },
    "input": {
        "type": "udp"
    },
    "log": {
        "source": {
            "address": "172.29.0.4:33227"
        }
    },
    "message": "Web request",
    "network": {
        "community_id": "1:UgazGyZMuRDtuImGjF+6GveZFw0=",
        "transport": "tcp"
    },
    "observer": {
        "product": "Vaporware",
        "vendor": "Elastic",
        "version": "1.0.0-alpha"
    },
    "related": {
        "ip": [
            "192.168.10.1",
            "89.160.20.156"
        ]
    },
    "source": {
        "as": {
            "number": 29518,
            "organization": {
                "name": "Bredband2 AB"
            }
        },
        "geo": {
            "city_name": "Linköping",
            "continent_name": "Europe",
            "country_iso_code": "SE",
            "country_name": "Sweden",
            "location": {
                "lat": 58.4167,
                "lon": 15.6167
            },
            "region_iso_code": "SE-E",
            "region_name": "Östergötland County"
        },
        "ip": "89.160.20.156",
        "port": 33876,
        "service": {
            "name": "httpd"
        }
    },
    "tags": [
        "cef",
        "forwarded"
    ],
    "url": {
        "original": "https://www.example.com/cart"
    }
}
导出的字段
字段 描述 类型

@timestamp

事件时间戳。

date

cef.device.event_class_id

事件类型的唯一标识符。

keyword

cef.device.product

生成消息的设备的产品。

keyword

cef.device.vendor

生成消息的设备的供应商。

keyword

cef.device.version

生成消息的产品的版本。

keyword

cef.extensions.TrendMicroDsDetectionConfidence

keyword

cef.extensions.TrendMicroDsFileMD5

keyword

cef.extensions.TrendMicroDsFileSHA1

keyword

cef.extensions.TrendMicroDsFileSHA256

keyword

cef.extensions.TrendMicroDsFrameType

keyword

cef.extensions.TrendMicroDsMalwareTarget

keyword

cef.extensions.TrendMicroDsMalwareTargetType

keyword

cef.extensions.TrendMicroDsPacketData

keyword

cef.extensions.TrendMicroDsRelevantDetectionNames

keyword

cef.extensions.TrendMicroDsTenant

keyword

cef.extensions.TrendMicroDsTenantId

keyword

cef.extensions.ad

flattened

cef.extensions.agentAddress

处理事件的 ArcSight 连接器的 IP 地址。

ip

cef.extensions.agentHostName

处理事件的 ArcSight 连接器的主机名。

keyword

cef.extensions.agentId

处理事件的 ArcSight 连接器的代理 ID。

keyword

cef.extensions.agentMacAddress

处理事件的 ArcSight 连接器的 MAC 地址。

keyword

cef.extensions.agentReceiptTime

ArcSight 连接器收到有关事件的信息的时间。

date

cef.extensions.agentTimeZone

处理事件的 ArcSight 连接器的代理时区。

keyword

cef.extensions.agentType

处理事件的 ArcSight 连接器的代理类型。

keyword

cef.extensions.agentVersion

处理事件的 ArcSight 连接器的版本。

keyword

cef.extensions.agentZoneURI

keyword

cef.extensions.aggregationType

keyword

cef.extensions.applicationProtocol

应用层协议,示例值为 HTTP、HTTPS、SSHv2、Telnet、POP、IMPA、IMAPS 等。

keyword

cef.extensions.assetCriticality

keyword

cef.extensions.baseEventCount

与此事件关联的计数。观察到此相同事件的次数是多少?如果计数为 1,则可以省略该计数。

long

cef.extensions.bytesIn

相对于源到目标关系的入站传输字节数,这意味着数据是从源流向目标。

long

cef.extensions.bytesOut

相对于源到目标关系的出站传输字节数。例如,数据从目标流向源的字节数。

long

cef.extensions.categoryBehavior

与事件关联的操作或行为。这是对对象执行的操作 (ArcSight)。

keyword

cef.extensions.categoryDeviceGroup

常规设备组,如防火墙 (ArcSight)。

keyword

cef.extensions.categoryDeviceType

设备类型。示例 - 代理、IDS、Web 服务器 (ArcSight)。

keyword

cef.extensions.categoryObject

事件相关的对象。例如,它可以是操作系统、数据库、文件等 (ArcSight)。

keyword

cef.extensions.categoryOutcome

事件的结果(例如,成功、失败或尝试)(ArcSight)。

keyword

cef.extensions.categorySignificance

事件重要性的表征 (ArcSight)。

keyword

cef.extensions.categoryTechnique

正在使用的技术(例如 /DoS)(ArcSight)。

keyword

cef.extensions.cp_app_risk

keyword

cef.extensions.cp_severity

keyword

cef.extensions.destinationAddress

标识事件在 IP 网络中引用的目标地址。格式为 IPv4 地址。

ip

cef.extensions.destinationHostName

标识事件在 IP 网络中指向的目标。格式应为与目标节点关联的完全限定域名 (FQDN),当节点可用时。

keyword

cef.extensions.destinationMacAddress

六个以冒号分隔的十六进制数字。

keyword

cef.extensions.destinationNtDomain

事件的结果(例如,成功、失败或尝试)(ArcSight)。

keyword

cef.extensions.destinationPort

有效的端口号介于 0 和 65535 之间。

long

cef.extensions.destinationServiceName

此事件所针对的服务。

keyword

cef.extensions.destinationTranslatedAddress

标识事件在 IP 网络中指向的转换后的目标。

ip

cef.extensions.destinationTranslatedPort

转换后的端口;例如,防火墙。有效端口号为 0 到 65535。

long

cef.extensions.destinationUserName

按名称标识目标用户。这是与事件目标关联的用户。电子邮件地址通常会映射到 UserName 字段中。接收者是放入此字段的候选对象。

keyword

cef.extensions.destinationUserPrivileges

典型值包括“管理员”、“用户”和“访客”。它标识目标用户的权限。例如,在 UNIX 中,以 root 用户执行的活动将使用“管理员”的 destinationUserPrivileges 标识。

keyword

cef.extensions.deviceAction

设备采取的操作。

keyword

cef.extensions.deviceAddress

标识事件在 IP 网络中指向的设备地址。

ip

cef.extensions.deviceAssetId

keyword

cef.extensions.deviceCustomDate2

两个时间戳字段之一,可用于映射不适用于此字典中任何其他字段的字段。

keyword

cef.extensions.deviceCustomDate2Label

所有自定义字段都有一个对应的标签字段。这些字段都是字符串,并描述自定义字段的用途。

keyword

cef.extensions.deviceCustomIPv6Address1

四个 IPv6 地址字段之一,可用于映射不适用于此字典中任何其他字段的字段。

ip

cef.extensions.deviceCustomIPv6Address1Label

所有自定义字段都有一个对应的标签字段。这些字段都是字符串,并描述自定义字段的用途。

keyword

cef.extensions.deviceCustomIPv6Address2

四个 IPv6 地址字段之一,可用于映射不适用于此字典中任何其他字段的字段。

ip

cef.extensions.deviceCustomIPv6Address2Label

所有自定义字段都有一个对应的标签字段。这些字段都是字符串,并描述自定义字段的用途。

keyword

cef.extensions.deviceCustomIPv6Address3

四个 IPv6 地址字段之一,可用于映射不适用于此字典中任何其他字段的字段。

ip

cef.extensions.deviceCustomIPv6Address3Label

所有自定义字段都有一个对应的标签字段。这些字段都是字符串,并描述自定义字段的用途。

keyword

cef.extensions.deviceCustomIPv6Address4

四个 IPv6 地址字段之一,可用于映射不适用于此字典中任何其他字段的字段。

ip

cef.extensions.deviceCustomIPv6Address4Label

所有自定义字段都有一个对应的标签字段。这些字段都是字符串,并描述自定义字段的用途。

keyword

cef.extensions.deviceCustomNumber1

三个数字字段之一,可用于映射不适用于此字典中任何其他字段的字段。请谨慎使用,并尽可能寻找更具体的、字典提供的字段。

long

cef.extensions.deviceCustomNumber1Label

所有自定义字段都有一个对应的标签字段。这些字段都是字符串,并描述自定义字段的用途。

keyword

cef.extensions.deviceCustomNumber2

三个数字字段之一,可用于映射不适用于此字典中任何其他字段的字段。请谨慎使用,并尽可能寻找更具体的、字典提供的字段。

long

cef.extensions.deviceCustomNumber2Label

所有自定义字段都有一个对应的标签字段。这些字段都是字符串,并描述自定义字段的用途。

keyword

cef.extensions.deviceCustomNumber3

三个数字字段之一,可用于映射不适用于此字典中任何其他字段的字段。请谨慎使用,并尽可能寻找更具体的、字典提供的字段。

long

cef.extensions.deviceCustomNumber3Label

所有自定义字段都有一个对应的标签字段。这些字段都是字符串,并描述自定义字段的用途。

keyword

cef.extensions.deviceCustomString1

六个字符串之一,可用于映射不适用于此字典中任何其他字段的字段。请谨慎使用,并尽可能寻找更具体的、字典提供的字段。

keyword

cef.extensions.deviceCustomString1Label

所有自定义字段都有一个对应的标签字段。这些字段都是字符串,并描述自定义字段的用途。

keyword

cef.extensions.deviceCustomString2

六个字符串之一,可用于映射不适用于此字典中任何其他字段的字段。请谨慎使用,并尽可能寻找更具体的、字典提供的字段。

keyword

cef.extensions.deviceCustomString2Label

所有自定义字段都有一个对应的标签字段。这些字段都是字符串,并描述自定义字段的用途。

keyword

cef.extensions.deviceCustomString3

六个字符串之一,可用于映射不适用于此字典中任何其他字段的字段。请谨慎使用,并尽可能寻找更具体的、字典提供的字段。

keyword

cef.extensions.deviceCustomString3Label

所有自定义字段都有一个对应的标签字段。这些字段都是字符串,并描述自定义字段的用途。

keyword

cef.extensions.deviceCustomString4

六个字符串之一,可用于映射不适用于此字典中任何其他字段的字段。请谨慎使用,并尽可能寻找更具体的、字典提供的字段。

keyword

cef.extensions.deviceCustomString4Label

所有自定义字段都有一个对应的标签字段。这些字段都是字符串,并描述自定义字段的用途。

keyword

cef.extensions.deviceCustomString5

六个字符串之一,可用于映射不适用于此字典中任何其他字段的字段。请谨慎使用,并尽可能寻找更具体的、字典提供的字段。

keyword

cef.extensions.deviceCustomString5Label

所有自定义字段都有一个对应的标签字段。这些字段都是字符串,并描述自定义字段的用途。

keyword

cef.extensions.deviceCustomString6

六个字符串之一,可用于映射不适用于此字典中任何其他字段的字段。请谨慎使用,并尽可能寻找更具体的、字典提供的字段。

keyword

cef.extensions.deviceCustomString6Label

所有自定义字段都有一个对应的标签字段。这些字段都是字符串,并描述自定义字段的用途。

keyword

cef.extensions.deviceDirection

有关观察到的通信方向的任何信息。支持以下值 - “0” 表示入站, “1” 表示出站。

long

cef.extensions.deviceEventCategory

表示始发设备分配的类别。设备通常使用自己的分类方案来对事件进行分类。示例 “/Monitor/Disk/Read”。

keyword

cef.extensions.deviceExternalId

唯一标识生成此事件的设备的名称。

keyword

cef.extensions.deviceFacility

生成此事件的设施。例如,Syslog 每个事件都有一个显式关联的设施。

keyword

cef.extensions.deviceHostName

格式应为与设备节点关联的完全限定域名 (FQDN),当节点可用时。

keyword

cef.extensions.deviceInboundInterface

数据包或数据进入设备的接口。

keyword

cef.extensions.deviceOutboundInterface

数据包或数据离开设备的接口。

keyword

cef.extensions.deviceProcessName

与事件关联的进程名称。一个示例可能是 UNIX 中生成 syslog 条目的进程。

keyword

cef.extensions.deviceReceiptTime

接收与活动相关的事件的时间。格式为 MMM dd yyyy HH:mm:ss 或自纪元(1970 年 1 月 1 日)以来的毫秒数。

keyword

cef.extensions.deviceSeverity

keyword

cef.extensions.deviceTimeZone

生成事件的设备的时区。

keyword

cef.extensions.deviceZoneID

keyword

cef.extensions.deviceZoneURI

设备资产在 ArcSight 中已分配到的区域的 URI。

keyword

cef.extensions.dvc

如果主机名是 IPv4 地址,则 Trend Micro 使用此字段。

ip

cef.extensions.dvchost

Trend Micro 将此字段用于主机名和 IPv6 地址。

keyword

cef.extensions.eventAnnotationAuditTrail

keyword

cef.extensions.eventAnnotationEndTime

date

cef.extensions.eventAnnotationFlags

keyword

cef.extensions.eventAnnotationManagerReceiptTime

date

cef.extensions.eventAnnotationModificationTime

date

cef.extensions.eventAnnotationStageUpdateTime

date

cef.extensions.eventAnnotationVersion

keyword

cef.extensions.eventId

这是 ArcSight 为每个事件分配的唯一 ID。

long

cef.extensions.fileHash

文件的哈希值。

keyword

cef.extensions.filePath

文件的完整路径,包括文件名本身。

keyword

cef.extensions.fileSize

文件的大小。

long

cef.extensions.fileType

文件类型(管道、套接字等)

keyword

cef.extensions.filename

仅文件名(不包含其路径)。

keyword

cef.extensions.ifname

keyword

cef.extensions.inzone

keyword

cef.extensions.layer_name

keyword

cef.extensions.layer_uuid

keyword

cef.extensions.locality

keyword

cef.extensions.logid

keyword

cef.extensions.loguid

keyword

cef.extensions.managerReceiptTime

ArcSight ESM 接收到事件的时间。

date

cef.extensions.match_id

keyword

cef.extensions.message

有关事件的更多详细信息的任意消息。可以通过使用 \n 作为换行符来生成多行条目。

keyword

cef.extensions.method

HTTP 请求方法。该值应保留原始事件的大小写。例如,GETgetGeT 都被视为此字段的有效值。

keyword

cef.extensions.modelConfidence

keyword

cef.extensions.nat_addtnl_rulenum

keyword

cef.extensions.nat_rulenum

keyword

cef.extensions.oldFileHash

旧文件的哈希值。

keyword

cef.extensions.origin

keyword

cef.extensions.originalAgentAddress

keyword

cef.extensions.originalAgentHostName

keyword

cef.extensions.originalAgentId

keyword

cef.extensions.originalAgentType

keyword

cef.extensions.originalAgentVersion

keyword

cef.extensions.originalAgentZoneURI

keyword

cef.extensions.originsicname

keyword

cef.extensions.outzone

keyword

cef.extensions.parent_rule

keyword

cef.extensions.priority

keyword

cef.extensions.product

keyword

cef.extensions.relevance

keyword

cef.extensions.repeatCount

keyword

cef.extensions.requestContext

对请求来源内容(例如,HTTP Referrer)的描述。

keyword

cef.extensions.requestMethod

用于访问 URL 的 HTTP 方法。

keyword

cef.extensions.requestUrl

在 HTTP 请求的情况下,此字段包含访问的 URL。该 URL 还应包含协议。

keyword

cef.extensions.requestUrlFileName

keyword

cef.extensions.rule_action

keyword

cef.extensions.rule_uid

keyword

cef.extensions.sequencenum

keyword

cef.extensions.service_id

keyword

cef.extensions.severity

keyword

cef.extensions.sourceAddress

标识事件在 IP 网络中指向的源。

ip

cef.extensions.sourceGeoLatitude

long

cef.extensions.sourceGeoLongitude

long

cef.extensions.sourceHostName

标识事件在 IP 网络中指向的源。格式应为与源节点关联的完全限定域名 (FQDN),当节点可用时。

keyword

cef.extensions.sourceMacAddress

六个以冒号分隔的十六进制数字。

keyword

cef.extensions.sourceNtDomain

源地址的 Windows 域名。

keyword

cef.extensions.sourcePort

有效端口号为 0 到 65535。

long

cef.extensions.sourceServiceName

负责生成此事件的服务。

keyword

cef.extensions.sourceTranslatedAddress

标识事件在 IP 网络中指向的转换后的源。

ip

cef.extensions.sourceTranslatedPort

端口号在被例如防火墙转换后。有效端口号为 0 到 65535。

long

cef.extensions.sourceTranslatedZoneID

keyword

cef.extensions.sourceTranslatedZoneURI

目标资产在 ArcSight 中已分配到的转换区域的 URI。

keyword

cef.extensions.sourceUserId

按 ID 标识源用户。这是与事件源关联的用户。例如,在 UNIX 中,root 用户通常与用户 ID 0 关联。

keyword

cef.extensions.sourceUserName

按名称标识源用户。电子邮件地址也会映射到 UserName 字段中。发件人是放入此字段的候选对象。

keyword

cef.extensions.sourceUserPrivileges

典型值包括“管理员”、“用户”和“访客”。它标识源用户的权限。例如,在 UNIX 中,以 root 用户执行的活动将使用“管理员”标识。

keyword

cef.extensions.sourceZoneID

按 ID 标识源用户。这是与事件源关联的用户。例如,在 UNIX 中,root 用户通常与用户 ID 0 关联。

keyword

cef.extensions.sourceZoneURI

源资产在 ArcSight 中已分配到的区域的 URI。

keyword

cef.extensions.startTime

事件所指的活动开始的时间。格式为 MMM dd yyyy HH:mm:ss 或自纪元(1970 年 1 月 1 日)以来的毫秒数。

date

cef.extensions.target

keyword

cef.extensions.transportProtocol

标识使用的 Layer-4 协议。可能的值是 TCP 或 UDP 等协议。

keyword

cef.extensions.type

0 表示基本事件,1 表示聚合事件,2 表示关联事件,3 表示操作。基本事件(类型 0)可以省略此字段。

long

cef.extensions.version

keyword

cef.forcepoint.virus_id

病毒 ID

keyword

cef.name

keyword

cef.severity

keyword

cef.version

keyword

checkpoint.app_risk

应用程序风险。

keyword

checkpoint.app_severity

应用程序威胁严重性。

keyword

checkpoint.app_sig_id

检测到应用程序的签名 ID。

keyword

checkpoint.auth_method

使用的密码身份验证协议。

keyword

checkpoint.category

类别。

keyword

checkpoint.confidence_level

确定的置信度。

整数

checkpoint.connectivity_state

连接状态。

keyword

checkpoint.cookie

IKE cookie。

keyword

checkpoint.dst_phone_number

目标 IP 电话。

keyword

checkpoint.email_control

引擎名称。

keyword

checkpoint.email_id

内部电子邮件 ID。

keyword

checkpoint.email_recipients_num

收件人数量。

long

checkpoint.email_session_id

内部电子邮件会话 ID。

keyword

checkpoint.email_spool_id

内部电子邮件后台处理 ID。

keyword

checkpoint.email_subject

电子邮件主题。

keyword

checkpoint.event_count

与日志关联的事件数。

long

checkpoint.frequency

扫描频率。

keyword

checkpoint.icmp_code

ICMP 代码。

long

checkpoint.icmp_type

ICMP 类型。

long

checkpoint.identity_type

身份类型。

keyword

checkpoint.incident_extension

原始数据格式。

keyword

checkpoint.integrity_av_invoke_type

扫描调用类型。

keyword

checkpoint.malware_family

恶意软件家族。

keyword

checkpoint.peer_gateway

对等安全网关的主 IP。

ip

checkpoint.performance_impact

保护性能影响。

整数

checkpoint.protection_id

保护恶意软件 ID。

keyword

checkpoint.protection_name

攻击的特定签名名称。

keyword

checkpoint.protection_type

用于检测攻击的保护类型。

keyword

checkpoint.scan_result

扫描结果。

keyword

checkpoint.sensor_mode

传感器模式。

keyword

checkpoint.severity

威胁严重性。

keyword

checkpoint.spyware_name

间谍软件名称。

keyword

checkpoint.spyware_status

间谍软件状态。

keyword

checkpoint.subs_exp

订阅的到期日期。

date

checkpoint.tcp_flags

TCP 数据包标志。

keyword

checkpoint.termination_reason

终止原因。

keyword

checkpoint.update_status

更新状态。

keyword

checkpoint.user_status

用户响应。

keyword

checkpoint.uuid

外部 ID。

keyword

checkpoint.virus_name

病毒名称。

keyword

checkpoint.voip_log_type

VoIP 日志类型。

keyword

data_stream.dataset

数据流数据集。

constant_keyword

data_stream.namespace

数据流命名空间。

constant_keyword

data_stream.type

数据流类型。

constant_keyword

destination.service.name

keyword

event.dataset

事件数据集

constant_keyword

event.module

事件模块

constant_keyword

input.type

Filebeat 输入类型。

keyword

log.file.path

日志文件的路径。

keyword

log.flags

日志文件的标志。

keyword

log.offset

日志文件中条目的偏移量。

long

log.source.address

读取/发送日志事件的源地址。

keyword

source.service.name

keyword

更新日志

编辑
更新日志
版本 详情 Kibana 版本

2.17.4

Bug 修复 (查看拉取请求)
在引用摄取管道中的变量时,使用三花括号 Mustache 模板。

8.6.1 或更高版本

2.17.3

Bug 修复 (查看拉取请求)
在引用摄取管道中的变量时,使用三花括号 Mustache 模板。

8.6.1 或更高版本

2.17.2

增强功能 (查看拉取请求)
使数据集名称可配置

8.6.1 或更高版本

2.17.1

Bug 修复 (查看拉取请求)
将 ignore_failure 添加到摄取节点管道中的 community_id 处理器。

8.6.1 或更高版本

2.17.0

增强功能 (查看拉取请求)
将包规范更新到 3.0.3。

8.6.1 或更高版本

2.16.2

增强功能 (查看拉取请求)
已更改所有者

8.6.1 或更高版本

2.16.1

Bug 修复 (查看拉取请求)
修复 exclude_files 模式。

8.6.1 或更高版本

2.16.0

增强功能 (查看拉取请求)
ECS 版本已更新至 8.11.0。

8.6.1 或更高版本

2.15.0

增强功能 (查看拉取请求)
ECS 版本已更新至 8.10.0。

8.6.1 或更高版本

2.14.0

增强功能 (查看拉取请求)
包清单中的 format_version 从 2.11.0 更改为 3.0.0。从包清单中删除了带点的 YAML 键。在包清单中添加了 *owner.type: elastic*。

8.6.1 或更高版本

2.13.0

增强功能 (查看拉取请求)
添加 tags.yml 文件,以便使用“安全解决方案”标记集成仪表板和保存的搜索,并在安全解决方案 UI 中显示。

8.6.1 或更高版本

2.12.0

增强功能 (查看拉取请求)
将包更新到 ECS 8.9.0。

8.6.1 或更高版本

2.11.0

增强功能 (查看拉取请求)
确保正确设置管道错误的 event.message。

8.6.1 或更高版本

2.10.0

增强功能 (查看拉取请求)
将包更新到 ECS 8.8.0。

8.6.1 或更高版本

2.9.0

增强功能 (查看拉取请求)
将 package-spec 版本更新到 2.7.0。

8.6.1 或更高版本

2.8.0

增强功能 (查看拉取请求)
更新仪表板,添加 TCP 支持并启用 ECS 动态模板

8.6.1 或更高版本

2.7.0

增强功能 (查看拉取请求)
将包更新到 ECS 8.7.0。

8.1.0 或更高版本

2.6.2

增强功能 (查看拉取请求)
添加了类别和/或子类别。

8.1.0 或更高版本

2.6.1

Bug 修复 (查看拉取请求)
确保正确解释数字时区。

8.1.0 或更高版本

2.6.0

增强功能 (查看拉取请求)
将包更新到 ECS 8.6.0。

8.1.0 或更高版本

2.5.0

增强功能 (查看拉取请求)
udp_options 添加到 UDP 输入。

8.1.0 或更高版本

2.4.1

增强功能 (查看拉取请求)
将仪表板中的可视化迁移到按值,以最大限度地减少保存的对象混乱并减少加载时间

8.1.0 或更高版本

2.4.0

增强功能 (查看拉取请求)
将包更新到 ECS 8.5.0。

8.0.0 或更高版本

2.3.4

Bug 修复 (查看拉取请求)
删除重复字段。

8.0.0 或更高版本

2.3.3

Bug 修复 (查看拉取请求)
删除重复字段。

8.0.0 或更高版本

2.3.2

增强功能 (查看拉取请求)
使用 ECS geo.location 定义。

8.0.0 或更高版本

2.3.1

增强功能 (查看拉取请求)
删除未使用的可视化效果

8.0.0 或更高版本

2.3.0

增强功能 (查看拉取请求)
将包更新到 ECS 8.4.0

8.0.0 或更高版本

2.2.1

增强功能 (查看拉取请求)
更新包名称和描述以符合标准措辞

8.0.0 或更高版本

2.2.0

增强功能 (查看拉取请求)
添加通用 CEF 仪表板

8.0.0 或更高版本

2.1.0

增强功能 (查看拉取请求)
将包更新到 ECS 8.3.0。

8.0.0 或更高版本

2.0.3

Bug 修复 (查看拉取请求)
按照 ECS 格式化 source.mac 和 destination.mac。

8.0.0 或更高版本

2.0.2

增强功能 (查看拉取请求)
改进字段文档

8.0.0 或更高版本

2.0.1

Bug 修复 (查看拉取请求)
阐明仪表板的范围

2.0.0

增强功能 (查看拉取请求)
将地图可视化从 tile_map 迁移到 map 对象

8.0.0 或更高版本

1.5.0

增强功能 (查看拉取请求)
通过修改 Check Point 事件以使用新的电子邮件字段集,更新到 ECS 8.2。

7.16.0 或更高版本
8.0.0 或更高版本

1.4.3

增强功能 (查看拉取请求)
添加多字段的文档

7.16.0 或更高版本
8.0.0 或更高版本

1.4.2

Bug 修复 (查看拉取请求)
为多个 event.* 字段添加字段映射。

7.16.0 或更高版本
8.0.0 或更高版本

1.4.1

Bug 修复 (查看拉取请求)
将管道错误附加到 error.message 而不是覆盖现有错误。

1.4.0

增强功能 (查看拉取请求)
更新到 ECS 8.0

7.16.0 或更高版本
8.0.0 或更高版本

1.3.1

Bug 修复 (查看拉取请求)
使用新的 GeoIP 数据库重新生成测试文件

7.16.0 或更高版本
8.0.0 或更高版本

1.3.0

增强功能 (查看拉取请求)
将测试 IP 更改为 GeoIP 支持的集合

增强功能 (查看拉取请求)
添加 8.0.0 版本约束

7.16.0 或更高版本
8.0.0 或更高版本

1.2.2

增强功能 (查看拉取请求)
更新标题和描述。

7.16.0 或更高版本

1.2.1

Bug 修复 (查看拉取请求)
修复检查 forwarded 标签的逻辑

1.2.0

增强 (查看拉取请求)
添加 CEF 时区配置选项。

7.16.0 或更高版本

1.1.0

增强 (查看拉取请求)
更新至 ECS 1.12.0

1.0.0

增强 (查看拉取请求)
正式发布 (GA)

0.5.2

增强 (查看拉取请求)
转换为生成的 ECS 字段

0.5.1

增强 (查看拉取请求)
更新至 ECS 1.11.0

0.5.0

增强 (查看拉取请求)
更新文档以符合 mdx 规范

0.4.0

增强 (查看拉取请求)
更新集成描述

0.3.0

增强 (查看拉取请求)
设置 "event.module" 和 "event.dataset"

0.2.0

增强 (查看拉取请求)
更新至 ECS 1.10.0 并添加 event.original 选项。

0.1.0

增强 (查看拉取请求)
将 syslog 输入更改为 udp 输入。将 syslog 时间戳解析添加到 Ingest Node 管道。

0.0.4

增强 (查看拉取请求)
更新至 ECS 1.9.0

0.0.1

增强 (查看拉取请求)
初始发布

« CockroachDB 集成 Containerd 集成 »